GitHub aumenta recompensas para programa de caça aos bugs

Por Renato Mota | 19 de Fevereiro de 2019 às 22h10
GitHub/Reprodução

Depois de distribuir mais de US$ 165 mil em premiações para desenvolvedores em 2018, o GitHub ampliou seu programa de recompensas por bugs. A empresa não só aumentou os valores os prêmios como fez alterações nos termos de serviço para proteger os programadores dos riscos legais.

Para começar, o GitHub excluiu o teto de pagamento para recompensas do Bug Bounty. A nova tabela recompensa os programadores de acordo com o nível de complexidade do bug: Baixa (US$ 617 a US$ 2 mil), Médio (US$ 4 mil a US$ 10 mil), Alta (US$ 10 mil a US$ 20 mil) e Crítica (US$ 20 mil a US$ 30 mil e além).

O programa cobre todos os serviços primários hospedados sob os domínios github.com (GitHub Education, GitHub Learning Lab, GitHub Jobs, and GitHub Desktop), Enterprise Cloud, githubapp.com e github.net. Para participar, o programador não pode ser de um dos países dos quais os Estados Unidos emitiram sanções para exportação ou outras restrições comerciais, como Cuba, Irã, Coréia do Norte, Sudão e Síria.

Alguns bugs foram classificados como inelegíveis, e por isso é importante sempre consultar a lista divulgada pelo GitHub antes de submeter sua aplicação. Também não é permitido ataques não técnicos, como de engenharia social, phishing ou ataques físicos contra os funcionários, usuários ou infraestrutura da plataforma em busca de bugs.

As alterações do Bug Bounty vieram como resposta ao feedback de pesquisadores de segurança que participaram do programa. Isso inclui também novos termos do “Legal Safe Harbor” incluídos a sua política de site com base em modelos licenciados por CC0. O GitHub se compromete agora, por exemplo, a não apoiar qualquer processo ou ação civil de terceiros para as atividades de pesquisa do programa de recompensas.

A plataforma também não compartilhará as informações de identificação dos participantes do Bug Bounty com terceiros sem sua permissão por escrito. “Também não compartilhamos informações de não identificação sem notificá-lo primeiro e obter o compromisso por escrito de terceiros de não iniciar uma ação legal contra você”, afirma o novo documento.

Fonte: GitHub

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.